Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Trendy w ochronie danych osobowych na 2021 rok

08/02/2021

Początek roku to czas przewidywania tego co może zdarzyć się w kolejnych miesiącach, a zatem zdecydowaliśmy się przedstawić krótko warte obserwacji trendy w ochronie danych osobowych w 2021 roku.


1. Coraz bardziej złożona prywatność i ochrona danych osobowych

Przewiduje się, że w 2021r. ponad połowa osób na całym świecie będzie podlegała regulacjom o ochronie danych osobowych. Nowe systemy ochrony danych są w przygotowaniu między innymi w Chinach, Australii, Indiach. Wzrost liczby regulacji prawnych w tym zakresie będzie stanowił znaczące wyzwanie dla przedsiębiorców operujących na wielu rynkach.

 

2. UE ( EOG) a USA  - co dalej…..

 

Wiadomo, że chodzi o wyrok tzw. Schrems II. Nie ma tarczy prywatności. Zdaniem Trybunału Sprawiedliwości nie chroniła ona prywatności danych osobowych obywateli UE. Tysiące przedsiębiorstw musiało szybko znaleźć alternatywną metodę przekazywania danych, która odpowiednio chroni dane osobowe za granicą.

 

Przedsiębiorstwa mogą korzystać ze standardowych klauzul umownych( SCC), wiążących reguł korporacyjnych (BCR) i odstępstw, ale obecnie nie są to rozwiązania długoterminowe. Chociaż Komisja Europejska potwierdziła, że pracuje nad aktualizacją SCC i dostosowaniem ich do RODO, prace te jeszcze nie zostały zakończone. A to oznacza, że przedsiębiorstwa dalej stoją przed wyzwaniem w zakresie przekazywania do USA albo też przy wykorzystaniu technologii amerykańskich danych poza obszar UE/EOG.

Żeby to wszystko jeszcze utrudnić trzeba na to nałożyć siatkę poszczególnych regulacji w zakresie prywatności w poszczególnych stanach w USA – o ile się pojawią.

 

3. Kary, kary, kary ……….

 

Kiedy weszło w życie RODO zwracano uwagę głównie na kary. Strach przed naruszeniem prawa wystarczył, aby  przedsiębiorstwa rozpoczęły działania dostosowawcze. Wiele podmiotów wdrożyło podstawowe rozwiązania i na tym zakończyło temat „zgodności z rodo”. Tymczasem otoczenie prawne związane z tematem ochrony danych osobowych w ostatnim czasie uległo dużym zmianom, jak również zauważalny jest wzrost aktywności po stronie organu nadzorczego. Widać to po karach jakie są wymierzane podmiotom działającym w opinii nadzorcy niezgodnie z przepisami. Wygląda na to, że czas wyrozumiałości dla przedsiębiorców i etap tylko „grożenia palcem” przez organy nadzorcze skończył się.

 

4. Zrozumienie potencjału automatyzacji wśród specjalistów w dziedzinie ochrony prywatności.

 

Covid-19 spowodował znaczący wzrost liczby osób, wykonujących pracę zdalnie. BYOD stało się w niektórych miejscach standardem. Wiele organizacji nadal zmaga się z automatyzacją i informatyzacją swoich procesów, a w dużej liczbie firm w zeszłym roku rozpoczęto korzystanie z wielu metod i aplikacji, kodów QR, z których większość została pośpiesznie wprowadzona przy minimalnych badaniach i analizach w zakresie prywatności danych (privacy by design/by default). Być może w tym roku nadejdzie czas aby zweryfikować czy prowadzone działania są zgodne z RODO i ochroną danych osobowych.

 

5. Szyfrowanie end-to-end ..

 

Szyfrowanie podczas przesyłu danych, gdy tylko nadawca i odbiorca mogą odczytać treść informacji budzi kontrowersje. Niektóre państwa  wskazują na ryzyka związane z bezpieczeństwem publicznym, jak chociażby seksualne wykorzystywanie dzieci.  Osiągnięcie porozumienia w tym kontekście wydaje się jednym z zadań do realizacji w 2021r., aczkolwiek bardzo trudnym.

 

6. Zwiększenie świadomości organizacji i budowa wewnętrznych regulacji odnoszących się prywatności.

 

Obserwujemy obecnie wzrost liczby regulacji dotyczących ochrony prywatności, danych osobowych. Rośnie tempo ich tworzenia oraz zmienia się podejście organów nadzorczych i stosowane są oraz częściej surowsze kary. Wydaje się więc, że firmy zareagują na te okoliczności tworzeniem wewnętrznych regulacji w zakresie prywatności i ochrony danych korporacyjnych, w tym danych osobowych. Dodatkowo wydaje się, że sięgną po przygotowane już i istniejące wytyczne i normy odnoszące się do prywatności, jak np.  NIST Privacy Framework lub ISO/IEC 27701:2019. Według IAPP około 56% organizacji zmierza w kierunku wypracowania strategii prywatności, a wskazane powyżej normy i wytyczne mogą im pomóc w stworzeniu własnych regulacji.

 

7. Działy Privacy/Compliance - więcej za mniej

 

Pandemia Covid-19 zmusiła wiele organizacji do szybkiego przeorganizowania i zamiany zakresu działalności, przejścia pracowników do pracy zdalnej i reagowania na nagłe spowolnienie gospodarcze. Początkowo część firm  nastawiona była na wzrost kosztów budżetowych dotyczących pracy działów privacy/compliance, aby poradzić sobie z natychmiastowymi zmianami wywołanymi przez pandemię. Obecne warunki wymuszają obniżenie ogólnych kosztów. Oznacza to, że działy odpowiedzialne za bezpieczeństwo informacji będą w zmieniającym się otoczeniu prawnym, społecznym, technologicznym pracować z mniejszym wsparciem finansowym. Najbliższy czas to także okres kiedy działy privacy/compliance będą coraz silniej angażować się w działania audytowe i z zakresu cyberbezpieczeństwa.

 

8. Inwestycje w technologie chroniące prywatność.

 

Nadążanie za nowymi i istniejącymi przepisami dotyczącymi prywatności danych i RODO może być wyzwaniem. Ponadto pogodzenie działań biznesowych z tymi licznymi regulacjami, a także żądaniami podmiotów danych wymaga dużego zaangażowania czasu, finansów i pracy ludzi. Częściowym rozwiązaniem problemu mogą być  technologie zwiększające  ochronę prywatność (np. szyfrowanie homomorficzne, zaciemnianie, deidentyfikacja itp.).  

 

9. Świadomość podmiotów danych – transparentne zasady przetwarzania danych osobowych.

 

 Konsumenci są coraz bardziej zaniepokojeni ich prywatnością i są gotowi do działania w celu jej ochrony. Badanie przeprowadzone przez Cisco wykazało, że ponad 50% konsumentów zmieniłoby firmy tylko ze względu na ich politykę danych lub praktyki udostępniania danych.

 

Budowanie zaufania poprzez transparentność przetwarzania danych osobowych może być kluczowym wyróżnikiem, zwłaszcza że pandemia zakłóciła nawyki zakupowe konsumentów. Jednak do 2023 r. przedsiębiorstwa, które zarabiają i utrzymują zaufanie cyfrowe do swoich konsumentów, zanotują wzrost  zysków w prowadzonej działalności  o 30% w porównaniu z konkurencją, która o prywatność i ochronę danych osobowych nie zadba.

 

10. Wyzwania ochrony danych osobowych – odrobina perspektywy zza oceanu.

 

  • Stany Zjednoczone i UE będą pracować nad rozwiązaniem w zakresie transgranicznego transferu danych i miejmy nadzieję, że do niego dotrą.

 

  • Ransomware. Więcej ataków ransomware i zwiększona kontrola regulacyjna firm, które płacą żądania okupu.

 

  • Reklama cyfrowa. Opracowanie alternatywnych strategii marketingowych, a być może większe poleganie na zgodzie konsumentów, ponieważ przepisy dotyczące prywatności dodatkowo ograniczają tradycyjne  podejście do śledzenia i profilowania.

 

  • COVID-19 Udostępnianie danych. Podmioty zaangażowane w system reagowania na COVID-19 będą nadal mieć wymogi w zakresie sprawozdawczości, udostępniania danych i zarządzania, które różnią się w zależności od jurysdykcji.

 

  • Żądania dostępu. Firmy będą dokonywać aktualizacji danych operacyjnych dotyczących gromadzenia danych pracowników i B2B, geolokalizacji, międzykontekstowych reklam behawioralnych i udostępniania, aby zapewnić zgodność z wymogiem "look-back" dla wniosków o dostęp.

 

  • Wzrost liczby przepisów dotyczących prywatności. Jeśli inne stany dołączą do Kalifornii i uchwalą własne przepisy dotyczące prywatności, skomplikuje to jeszcze bardziej sytuację firm w kontekście zgodności z poszczególnymi regulacjami w lokalizacjach gdzie prowadzą działalność. 

 

  • Firmy amerykańskie zakładają, że wraz z administracją Bidena nastąpi wzrost liczby dochodzeń regulacyjnych dotyczących prywatności.

 

  • Zasady retencji. Zakłada się, że większy nacisk zostanie położony  na odpowiednich okresach przechowywania danych  i powiadomieniu konsumentów o okresach przechowywania w UE, a do 2023 r. w Kalifornii w ramach  nowej ustawy CPRA.

 

  • Będzie więcej sporów sądowych  dotyczących naruszenia zasad ochrony danych osobowych.

 

radca prawny Barbara Pietrzak-Każarnowicz

 

Źródła:

https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/cisco-consumer-privacy-infographic-2020.pdf?dtid=osscdc000283

https://blogs.gartner.com/andrew_white/2021/01/12/our-top-data-and-analytics-predicts-for-2021/?_ga=2.68409681.1137631311.1612339215-678997269.1577259827

https://blog.focal-point.com/the-9-data-privacy-trends-to-watch-out-for-in-2021

https://www.securitymagazine.com/articles/94238-data-privacy-expectations-in-2021-trends-to-watch

https://www.natlawreview.com/article/data-privacy-day-2021-trends-to-watch

https://techbeacon.com/security/what-your-data-security-team-can-expect-2021-5-key-trends

https://www.forbes.com/sites/forbestechcouncil/2020/12/18/looking-ahead-to-data-privacy-in-2021/?sh=41573fe71767

https://www.mofo.com/resources/insights/201211-privacy-data-security-predictions-2021.html

https://techwireasia.com/2021/01/data-privacy-in-2021-3-trends-to-keep-an-eye-on/

 

 

Plan kontroli UODO na 2024  rok
Plan kontroli UODO na 2024 rok
Październik miesiącem cyberbezpieczeństwa: Wzajemne oddziaływanie ochrony danych i cyberbezpieczeństwa wg. Europejskiego Inspektora Ochrony Danych
Październik miesiącem cyberbezpieczeństwa: Wzajemne oddziaływanie ochrony danych i cyberbezpieczeństwa wg. Europejskiego Inspektora Ochrony Danych
Komisja Europejska proponuje nowe rozporządzenie proceduralne w celu skuteczniejszego egzekwowania RODO w sprawach transgranicznych
Komisja Europejska proponuje nowe rozporządzenie proceduralne w celu skuteczniejszego egzekwowania RODO w sprawach transgranicznych